cNotes 検索 一覧 カテゴリ

Window Live SkyDrive を利用したspam

Published: 2008/07/27

「Windows Live SkyDrive」とはマイクロソフトが2008/2/22にはじめたオンラインストレージサービスです。1回に50MB、最大容量5GBで、無期限にファイルをおくことができます。期限なしのオンラインストレージとしてはかなり容量の大きいサービスです。live IDを持っていればだれでも利用可能です。公開フォルダを使えば外部からリンクで参照することもできます。

となれば、spam業界、マルウェア業界の方々が放っておくはずがありません。

7月22日以降、下図のような「Windows Live SkyDrive」を利用したURLが埋め込まれたspamが大量に観測されています。

こんな感じ

 http://9pdxfw.bay.livefilestore.com/y1pfcb_B4…
 http://xhxrag.bay.livefilestore.com/y1phgKFVJ…
 http://ihb5ya.bay.livefilestore.com/y1pCvzwvp…

以前「Google Page Creatorを利用したspam」で書きましたように、Googleなどの有名サイトの無料サービスも利用されまくっているわけですが、マイクロソフトも例外ではないということで。

これらのサービスは次のようなサイトを大量に作り出すために利用されています。

  • SEO Attackのためのsplog,spamblog
  • マルウェアの設置サイト
  • フィッシングサイト
  • spam広告サイト
  • 上記サイトを隠蔽するためにリンク構造を複雑化するためのdoorwayサーバー
  • 最近流行のasprox botnetのようにリンク構造を複雑化するためのredirector

そしてこうして作り出されたサイトを組み合わせて、複雑な構造のボットネットやマルウェア配布サイト、フィッシングサイトの大規模システム?が構築されています。

オンラインストレージ以外に以下のようなものが好まれて利用されています。

  • ゾンビPC
  • 無料サービス(GoogleやYahooなど有名なサービスを利用する)
    • 無料ブログ
    • 無料Webページ構築サービス
    • 無料画像ホスティング
    • 無料ファイルホスティング
    • 無料URLホスティング
    • 動画共有
  • SQLインジェクションされた(した)サーバー(最近)

Googleやマイクロソフトの無料サービスを利用するのは、共通的に利用されるドメインでのブロックは不可能であり、また、ユーザー固有のURL部分は無限に作り続けることができるのでフィルタリングやブラックリストでの対策が困難だからです。またこういったサービスを利用するために必要なIDはspam送信のためにボットによって自動的に作成されているものをそのまま流用可能です。

さらにStormWormで実証された、fast-flux、double-flux、hydra-fluxなどの仕組みを利用し、構成するサーバー群を定期的に変更したり、URL、ドメインを短周期で変更したり、リンク構造を短期間に変更することで、よりいっそう対策を困難にする運用も行われています。

一昔前のボットのようにアクセスするためのトリガーキーが感染した端末側に埋めこまれている場合には、固定的にアクセスが発生するのでURIBLやDNSBLのようなものを利用したフィルタリングは有効だったかもしれませんが、今現在は、ユーザーが任意にアクセスしたWebサーバー側にトリガーが存在するわけで、そこに埋め込まれているトリガーキー(URLとかのこと)は好きに変更されるし、どのサイトに埋め込まれているかすらころころ変わっていくのでブラックリスト方式での追随は非常に困難じゃないかと思います。

またクロールによっていろいろな悪性サイトを抽出することが広く行われていますが、たくさんの結果が収集できているのは、攻撃サイトがインジェクションされたサイトとか有名サービスに紛れ込んでいるわけで、これらのサイトをブラックリストに入れて明確にブロックすることは不可能なわけであって、どうやっても真剣な対策打てないから、つまり影に隠れる必要もなく好きにやられまくっているからじゃないですかね?で、結果は収集できてもこれらの数万、数十万のサイト、URIに換算したら数百万、数千万?の日々変化していくURIに対応することは不可能だという状況はかなりまずいわけで・・・

「調査の結果こんなにひどいので、パッチあてましょう」

と世間に言ってみる程度しか対策がないのが実情なんでしょうか…

さらに、最近流行のSQLインジェクションでやられているサイトが大量に存在することで、そればっかりが網に引っかかって、おとり、デコイとして機能して、その他の致命的なマルウェアサイトが影に隠れていまう、マルウェア対策に対するいわゆるDoS効果が出ているんじゃないということも心配です。

[カテゴリ:spam観察日記]

by jyake